La Minaccia Cibernetica al Settore Sanitario: Un’Analisi Approfondita e Raccomandazioni Cruciali

Categories: Sanità digitalePublished On: 29 Luglio 2025Last Updated: 29 Luglio 2025Tags: ,

Il settore sanitario, a livello globale, è emerso come uno dei più bersagliati dagli attacchi cyber alle infrastrutture digitali. Questa tendenza preoccupante è stata analizzata in dettaglio dall’Agenzia per la Cybersicurezza Nazionale (ACN), l’autorità nazionale per la cybersicurezza in Italia. Il loro recente rapporto, che copre il periodo da gennaio 2023 a maggio 2025, fornisce un quadro chiaro delle minacce, delle vulnerabilità e delle raccomandazioni per rafforzare la sicurezza informatica in questo settore vitale.

Il Contesto della Minaccia: Eventi Cyber e Incidenti

L’ACN, istituita dal Decreto-legge n. 82 del 2021 per razionalizzare e semplificare il sistema di competenze nazionali in materia di cybersicurezza, ha il compito di tutelare la sicurezza e la resilienza nello spazio cibernetico del Paese. Il CSIRT Italia, la componente tecnico-operativa dell’ACN, funge da hub nazionale per la gestione delle notifiche di incidenti cibernetici, classificandoli come “eventi cyber” o “incidenti” a seconda dell’impatto confermato sulla vittima. Un “evento cyber” è un avvenimento con potenziale impatto, mentre un “incidente” è un evento cyber con impatto confermato.

Dal gennaio 2023, si sono verificati in media 3,5 eventi cyber malevoli al mese contro strutture sanitarie italiane, e circa la metà di questi ha avuto un impatto effettivo sui servizi erogati, spesso causando blocchi e gravi ripercussioni per gli utenti, inclusa la privacy.

Un’Impennata degli Attacchi: Dati 2023-2024

Il periodo 2023-2024 ha mostrato un incremento notevole nella frequenza degli eventi cyber e degli incidenti nel settore sanitario.

  • Nel 2024, il numero di eventi cyber registrati ha visto un aumento del 111% rispetto al 2023, con 57 eventi censiti dal CSIRT Italia rispetto ai 27 dell’anno precedente.
  • Anche il numero di incidenti è sensibilmente aumentato, passando da 12 nel 2023 a 55 nel 2024. In particolare, circa il 96% degli eventi cyber nel 2024 sono stati confermati come incidenti.

Un esempio significativo di questa tendenza si è verificato a luglio 2024, quando un attacco di tipo supply chain ha coinvolto un fornitore di servizi IT che operava per diverse strutture sanitarie. Questo evento ha dimostrato come la compromissione di un singolo fornitore possa generare effetti a cascata, mettendo a rischio l’erogazione di servizi essenziali da parte di più soggetti.

Le tipologie di minacce più rilevate in questo periodo includono:

  • Esposizione dati: divulgazione non autorizzata di dati personali.
  • Accessi non autorizzati e compromissione da malware: con una significativa incidenza di attacchi ransomware.
  • Ransomware: Questa minaccia si conferma tra le più rilevanti in termini di impatto, capace di compromettere la disponibilità dei sistemi informativi e incidere sulla continuità operativa. Hanno rappresentato il 11% degli eventi nel 2024 e il 36% nel 2023, e per gli incidenti, il 17% nel 2024 e il 46% nel 2023.
  • Compromissioni da malware: 13% degli eventi nel 2024 e 17% degli incidenti nel 2024.
  • Intrusione tramite credenziali valide: 15% degli eventi nel 2024 e 17% degli incidenti nel 2024.
  • Esfiltrazione dati: 14% degli eventi nel 2023.
  • Diffusione malware tramite e-mail: 11% degli incidenti nel 2024.

Prospettive 2025: Nuove Tendenze

Nei primi cinque mesi del 2025 (gennaio-maggio), il numero complessivo degli eventi cyber è aumentato del 70% rispetto allo stesso periodo del 2024 (44 eventi rispetto a 26). Le minacce più rilevate in questo periodo sono state phishing, compromissione delle caselle e-mail ed esposizione dati, confermando la centralità del vettore e-mail e dell’ingegneria sociale per la diffusione di campagne malevole.

Un elemento di novità nei primi mesi del 2025 è stato l’impiego mirato di attacchi DDoS (Distributed Denial of Service) contro i siti web di alcune strutture sanitarie, rivendicati da gruppi hacktivisti in relazione al sostegno militare italiano all’Ucraina. Sebbene questi attacchi non abbiano causato impatti sull’operatività delle strutture, interessando esclusivamente i siti web istituzionali e rendendoli temporaneamente irraggiungibili, segnano un cambio di tendenza, dato che le campagne hacktiviste tradizionalmente colpivano settori istituzionali, finanziari e dei trasporti.

Gli Impatti degli Attacchi Cyber

Gli impatti riscontrati dalle attività del CSIRT Italia sono complessi e vanno oltre la sola disponibilità dei servizi, sebbene il blocco temporaneo dell’erogazione di almeno un servizio sia l’impatto più comune, spesso dovuto alla cifratura dei file. Altri impatti rilevati includono:

  • Esfiltrazione di dati: con o senza cifratura, compromettendo la riservatezza.
  • Modifiche all’integrità dei dati: portando alla perdita dell’integrità e all’impossibilità per gli operatori sanitari di utilizzare alcuni macchinari.
  • Cancellazioni di file: influenzando direttamente la disponibilità.

Oltre agli impatti operativi e sulla protezione dei dati, non si può escludere un potenziale danno reputazionale per l’ente sanitario coinvolto, con possibili ripercussioni a medio-lungo termine sulla fiducia dell’utenza e degli operatori del settore.

Vulnerabilità Esposte del Settore Sanitario

Le analisi dell’ACN evidenziano che i tentativi di attacco spesso hanno successo a causa dell’ignoranza o della scarsa implementazione di pratiche di sicurezza, anche elementari. Ciò è frequentemente attribuito a una scarsa attenzione agli aspetti di sicurezza legati alla gestione dei sistemi digitali o a una carente formazione specifica sulla cybersicurezza del personale.

Le principali cause delle “bad practices” sono:

  • Gestione decentralizzata di sistemi digitali: reparti o uffici diversi acquistano hardware, software e servizi IT da terzi in autonomia, senza una IT centrale unica o una politica comune di sicurezza.
  • Obsolescenza dei dispositivi: gli apparati medicali, spesso molto costosi, hanno una vita utile molto più lunga delle tecnologie di sicurezza. Apparati obsoleti non più aggiornabili o supportati rimangono in uso, impedendo l’evoluzione dell’ecosistema IT circostante.
  • Carenza quantitativa e qualitativa di personale dedicato alla cybersicurezza: la sicurezza informatica è gestita dal personale IT esistente, senza risorse dedicate.

L’analisi passiva condotta su oltre 50.000 indirizzi IP associati al settore sanitario ha rivelato un elevato numero di criticità. Le criticità rilevate sono state classificate in tre categorie:

  1. Servizi e dispositivi incautamente esposti su Internet: Questi servizi dovrebbero essere accessibili solo dalla rete interna dell’organizzazione.
  2. Software obsoleto e/o vulnerabile: Riguarda software che non riceve più aggiornamenti di sicurezza o che presenta vulnerabilità note e non patchate.
  3. Configurazioni errate: Spesso si tratta di configurazioni predefinite o non ottimizzate che espongono il sistema a rischi. La maggioranza delle criticità rileva nelle analisi mensili rientra in questa categoria.

Raccomandazioni e Contromisure Cruciali

Per potenziare la sicurezza informatica del settore sanitario, l’ACN offre raccomandazioni e contromisure primarie. L’implementazione di queste pratiche di sicurezza consentirebbe un incremento sensibile nella postura di sicurezza delle strutture sanitarie.

È fondamentale che queste raccomandazioni siano supportate da una governance centralizzata della cybersecurity e dell’IT, garantendo la separazione dei ruoli (Segregation of Duties) attraverso un approccio programmatico, strutturato e integrato, basato sulla gestione del rischio. Solo così, attraverso la definizione di un corretto assetto organizzativo, ruoli e responsabilità chiari e processi di sicurezza efficienti, sarà possibile, insieme all’adozione di soluzioni tecnologiche, ridurre il rischio di incidenti informatici.

Le 10 raccomandazioni più rilevanti per il settore includono pratiche essenziali per mitigare i rischi e migliorare la resilienza cyber. Sebbene le fonti non le elencino esplicitamente tutte, l’accento è posto su:

  • Evitare l’esposizione di servizi critici su Internet.
  • Aggiornare regolarmente il software per risolvere le vulnerabilità.
  • Modificare le configurazioni dei servizi per correggere le errate impostazioni.

In Caso di Incidente: Contatta CSIRT Italia

Il CSIRT Italia è l’hub nazionale per la ricezione di segnalazioni e notifiche di incidenti ed eventi, e fornisce supporto ai soggetti impattati, anche in loco. In caso di incidente, è fondamentale compilare il modulo disponibile sul sito del CSIRT Italia. L’Agenzia interviene supportando le vittime, raccogliendo evidenze, conducendo analisi forensi e definendo piani di attività per il ripristino dell’efficienza dei servizi, oltre a fornire raccomandazioni per innalzare la postura di sicurezza dell’infrastruttura

 

Total Views: 676Daily Views: 2

Ultimi articoli

Related Posts

50 Domande e Risposte sul Fascicolo Sanitario Elettronico
50 Domande e Risposte sul Fascicolo Sanitario Elettronico
Gallery

50 Domande e Risposte sul Fascicolo Sanitario Elettronico

28 Marzo 2026|0 Comments
Perché esprimere il consenso alla consultazione del Fascicolo Sanitario Elettronico: una scelta che riguarda tutti
Perché esprimere il consenso alla consultazione del Fascicolo Sanitario Elettronico: una scelta che riguarda tutti
Gallery

Perché esprimere il consenso alla consultazione del Fascicolo Sanitario Elettronico: una scelta che riguarda tutti

28 Marzo 2026|0 Comments
Interoperabilità dei dati clinici, serve il coinvolgimento dei professionisti per garantire sicurezza e continuità delle cure
Interoperabilità dei dati clinici, serve il coinvolgimento dei professionisti per garantire sicurezza e continuità delle cure
Gallery

Interoperabilità dei dati clinici, serve il coinvolgimento dei professionisti per garantire sicurezza e continuità delle cure

24 Marzo 2026|0 Comments
I dati psicologici nel Fascicolo Sanitario Elettronico: un’opportunità da cogliere
I dati psicologici nel Fascicolo Sanitario Elettronico: un’opportunità da cogliere
Gallery

I dati psicologici nel Fascicolo Sanitario Elettronico: un’opportunità da cogliere

22 Marzo 2026|0 Comments
Parlare la stessa lingua in sanità: LOINC, SNOMED CT, ICD e UCUM spiegati con esempi pratici
Parlare la stessa lingua in sanità: LOINC, SNOMED CT, ICD e UCUM spiegati con esempi pratici
Gallery

Parlare la stessa lingua in sanità: LOINC, SNOMED CT, ICD e UCUM spiegati con esempi pratici

27 Febbraio 2026|0 Comments
Fascicolo Sanitario Elettronico 2.0: La Rivoluzione Digitale della Salute e le Nuove Scadenze
Fascicolo Sanitario Elettronico 2.0: La Rivoluzione Digitale della Salute e le Nuove Scadenze
Gallery

Fascicolo Sanitario Elettronico 2.0: La Rivoluzione Digitale della Salute e le Nuove Scadenze

21 Febbraio 2026|0 Comments
Dietro le Quinte del Fascicolo Sanitario Elettronico: Come Funziona l’Infrastruttura Nazionale di Interoperabilità (INI)
Dietro le Quinte del Fascicolo Sanitario Elettronico: Come Funziona l’Infrastruttura Nazionale di Interoperabilità (INI)
Gallery

Dietro le Quinte del Fascicolo Sanitario Elettronico: Come Funziona l’Infrastruttura Nazionale di Interoperabilità (INI)

21 Febbraio 2026|0 Comments
Fascicolo Sanitario 2.0: Come il digitale sta imparando a “parlare” medico
Fascicolo Sanitario 2.0: Come il digitale sta imparando a “parlare” medico
Gallery

Fascicolo Sanitario 2.0: Come il digitale sta imparando a “parlare” medico

14 Febbraio 2026|0 Comments
L’Italia e lo Spazio Europeo dei Dati Sanitari: Tra Sfide Locali e Ambizioni Digitali
L’Italia e lo Spazio Europeo dei Dati Sanitari: Tra Sfide Locali e Ambizioni Digitali
Gallery

L’Italia e lo Spazio Europeo dei Dati Sanitari: Tra Sfide Locali e Ambizioni Digitali

13 Febbraio 2026|0 Comments
Telemedicina in Italia: La Guida Definitiva al Nuovo Glossario Nazionale AGENAS
Telemedicina in Italia: La Guida Definitiva al Nuovo Glossario Nazionale AGENAS
Gallery

Telemedicina in Italia: La Guida Definitiva al Nuovo Glossario Nazionale AGENAS

30 Gennaio 2026|0 Comments